免费CCNA 200-301 视频教程 Free CCNA | Standard ACLs & Extended ACLs | Day 34 & 35 | CCNA 200-301 Complete Course

今天这一期的CCNA教程是一个挺关键的知识点，本来是两期分开的，但是我觉得内容完全是一码事，所以放在了一起。Access control list，中文译作访问控制列表，顾名思义就是可以控制特定的客户访问特定的源的这个功能。对于实际应用来说，可以限制某些主机访问某些服务。

或者说呢，ACL类似于一个过滤器，可以配置在路由器上，允许路由器丢弃或者通过特定的流量。可以通过特定的参数来筛选源头/目的地的IP地址，特定的IP端口等等

ACL必须在global configure模式下配置，配置后必须在端口上应用，不在端口上应用是不会生效的。

ACL可以配置多条，执行时会按照配置的顺序来执行，从上到下。如果一个包刚好匹配到其中一条，那么后面的不会继续执行，直接被忽略掉。如果所有的条目都不匹配，那么该包会被丢弃的。

ACL在端口应用时，可以选择输出或者输入两个方向。但是有数量限制，每个端口的输入最多只能有一个ACL（可以有多个条目），输出也一样。

ACL分为两大类，Standard ACL和 Extended ACL，其中每一类又根据配置方法不同分为 numbered 和 named 两类。

Standard ACL 只能根据source IP address进行过滤，因此越接近目的地越好，这样可以避免在早期就过滤后影响到其他服务。

Standard Numbered ACL 通过数字来标识自己，其范围必须是1-99和1300-1999这两个里。配置方法为进入config模式

access-list number {deny | permit} ip wildcard-mask

number就是按照之前说的必须在规定范围内，deny 和permit必须选一个 最后跟的是反掩码

如下面例子中，三种配置方法是一样的效果，但是我个人建议使用第一个更加标准，另外两个只能是特定某一台主机才行

access-list 1 deny 1.1.1.1 0.0.0.0

access-list 1 deny 1.1.1.1

access-list 1 deny host 1.1.1.1

如下面例子中，两种配置都是允许所有IP通过，后一个更加标准，一般情况下最后都要加上permit ，不然会把其他的包都丢弃

access-list 1 permit any

access-list 1 permit 0.0.0.0 255.255.255.255

除此之外，可以添加一个备注

access-list remark ##BLOCK BOB FROM ACCOUNTING##

想查看状态可以

show access-lists

show ip access-lists

show running-config | include access-list

show running-config | section access-list

到了最核心的应用在端口上，选择某个端口后 int g0/0

ip access-group number {in | out}

这里记住 是access-group 而不是access-list

Standard Named ACL 通过名字来标识自己。配置方法为进入config模式,之后有一点不一样，通过名字来配置ACL可以先申明名字，然后一条一条的加参数，而不是像numbered必须一开始就要写参数

ip access-list standard acl-name

之后会进入到该ACL的配置中

[entry number] {deny | permit} ip wildcard-mask

entry number 越小优先级越高，如果不配置就和numbered acl一样按照你输入的顺序逐条执行

举例来看

ip access-list standard BLOCK_BOB

5 deny 1.1.1.1

10 permit any

也可以加备注

remark ##configured nov 21 2020##

最后应用到端口 int g0/0

ip access-group BLOCK_BOB in

查看命令和numbered的一样

这里注意一下，在新的路由器甚至Cisco Packet Tracker中，numbered配置方法其实和named一样可以用后面的命令

这里稍微一下，尽量使用named，理由是在named 模式下可以查看，可以编辑，可以删除 acl，但是在numbered下只能一条一条输入命令，一旦有错误或者需要修改的必须重新来一遍，所以一旦遇到大型网络或者很复杂的ACL时，用named可以减少工作量和便于修改（前面加entry number可以实现插入）。而在numbered模式下，一旦你删除一条，那么整个都会被删除掉。

两种模式下还有一个命令用来重新排序的

ip access-list resequence acl-id starting-seq-num increment

其中acl-id 就是你要修改的那个acl number，starting-seq-num是排序后从多少开始， increment是每次加多少

如下图所示，

Extended ACL和 Standard ACL功能是一样的，但是更加强大，除了source ip以外还可以过滤 destination ip address， port number 等

首先是Extended numbered ACL，可以使用的 ACL number不太一样，变成了 100-199， 2000-2699两个范围

命令如下

access-list number [permit | deny] protocol src-ip dest-ip

其次 Extended named ACL配置命令也类似，

ip access-list extended [name | number]

进入到named模式后，

[seq-num] [permit | deny] protocol src-ip dest-ip

这里protocol可以直接写协议名字也可以写端口号，哪个好记用哪个，如下图可以看到什么EIGRP，OSPF，IP等等都可以过滤

常用的就记住 Ping使用ICMP 端口号是1

TCP用6

UDP用17

EIGRP用88

OSPF用89

由于TCP和UDP包含了很多协议，因此可以添加选项参数，来特定某个协议

举例来说

deny tcp src-ip [eq | gt | lt | neq | range] src-port-num dest-ip [eq | gt | lt | neq | range] dst-port-num

其中 eq就是equal 等于 gt就是大于 great than lt就是小于 less than neq就是不等于 not equal range就是范围 如下图所示

这里还有很多协议，有一些超出了CCNA范畴，不过只要申明了特殊参数，就必须匹配，只要是有一条参数不匹配，那么就不符合该条ACL

这里注意，extended因为更加精确，因此不怕过滤掉其他协议，所以尽可能配置在接近源头的端口，减少带宽的浪费，

还有一点是我在做测试的时候发现，禁止访问http等，其实应该禁止的是目的地的端口，因此特殊参数应该用destination的，而不是source的

-------------------------------------------------------分隔符-------------------------------------------------------------------

-------------------------------------------------------分隔符-------------------------------------------------------------------

-------------------------------------------------------分隔符-------------------------------------------------------------------

-------------------------------------------------------分隔符-------------------------------------------------------------------

-------------------------------------------------------分隔符-------------------------------------------------------------------

-------------------------------------------------------分隔符-------------------------------------------------------------------

-------------------------------------------------------分隔符-------------------------------------------------------------------

-------------------------------------------------------分隔符-------------------------------------------------------------------

-------------------------------------------------------分隔符-------------------------------------------------------------------

-------------------------------------------------------分隔符-------------------------------------------------------------------

Day 34 Anki Flashcard下载：https://drive.google.com/file/d/13iwZHX_DBMeLBCQksnbXJwxoOjgRpIwW/view?usp=sharing

Day 35 Anki Flashcard下载： https://drive.google.com/file/d/1jgYmhxnG9f4dBgqFR8gdAlkyQp2o1AfT/view?usp=sharing

Day 34 Cisco Packet Tracer 练习题下载：https://drive.google.com/file/d/1jp132aDW4uJth2tYVsKjR7YXtm1WxWFw/view?usp=sharing

Day 35 Cisco Packet Tracer 练习题下载： https://drive.google.com/file/d/1rhMucDNy1PB2Q_DNRKWk0BReP_w62EGB/view?usp=sharing

Day 34 Cisco Packet Tracer 练习题完成下载：https://drive.google.com/file/d/1JxWdEy5_A7I3lwKDWrItCBeBmsD3pHUT/view?usp=sharing

Day 35 Cisco Packet Tracer 练习题完成下载： https://drive.google.com/file/d/1Jc98WvN5MxfVl73XPYKYJUxnlbepulGv/view?usp=sharing